連載
» 2006年07月29日 12時00分 公開

IT統制のキモとなる認証とアクセス制御とはセキュリティツールで作る内部統制(5)(1/2 ページ)

内部統制の具体的な内容の第2弾として、今回はITを利用したアクセス管理の考慮すべきポイントなどを説明する。

[中島 浩光,@IT]

 前回はセキュリティにおけるアイデンティティ管理について書きました。アイデンティティ管理についてはIT(システム)を利用した統制の前に、IDやシステム運用の在り方を精査することが重要になってくるのですが、アクセス管理についてはITの利用が非常に重要になっていきます。

 そのため、今回はアクセス管理を行ううえで考慮しなければいけないポイントと、そのうえでどのようにITを利用していくのか? といった点について解説します。

認証(Authentication)〜IDの利用者の確認

 認証(Authentication)は本人確認手段ともいわれます。原則としてシステム上のIDと利用者個人は1対1の関係でなくてはいけませんが、それを保証する、つまり、システム上におけるIDの利用者が、「確かにIDを付与された利用者個人」であることを確認する手段です。

 また、共有IDに対して認証を行う場合は、「利用者が共有IDを利用する権利を持っているのか?」を確認する手段となります。

 認証方式として最も一般的なのはパスワードですが、ほかにもICカードや指紋を利用した認証方式もあります。これらの認証方式は、大別して3つの種類に分けられます(下表参照)。

種別 説明 代表的なもの
知識による認証
(What You Know)
本人しか知り得ない知識・事柄などを利用する パスワード、パスフレーズ、暗証番号など。生年月日、住所などを利用する場合もある
所有物による認証
(What You Have)
本人しか所有していないものを利用する ICカード、ワンタイムパスワード、USBトークン
属性による認証
(What You Are)
本人自身に備わっている身体的特徴を利用する 指紋、指先静脈、掌静脈、虹彩、網膜、声紋、筆跡

 このようにいろいろな認証方式があるのですが、問題はこれらの認証方式をどのように選択するか? ということになります。以下に、認証方式を選択する際のポイントを示します。

(1)認証強度

 認証強度とは分かりやすくいうと、「なりすましのしにくさ」といえます。一般的に属性による認証は認証強度が強く、その次が所有物による認証が続き、知識による認証は認証強度としては弱いといわれています。

 そのため、知識による認証、例えばパスワードの場合、文字数・文字種の制限や有効期間の設定などの運用を行うことで、認証強度を上げる工夫が通常必要になります。また、2要素認証などのように、複数の認証要素を(知識+知識、知識+所有物など)組み合わせることにより、認証強度をさらに上げることが可能になります。

(2)IDが持つ権限

 IDによって認証方式を変える場合があります。分かりやすい例としては、管理者IDを利用するときはより強力な認証方式を利用する、というものです。IDの持つ権限が大きい場合には、そのIDがアクセスできる資産やシステム機能は大きなものであり、なりすましを防ぐ必要性が高いと考えられるためです。

(3)資産の機密度

 資産の機密度とは、IDではなく資産やシステム機能の機密度・重要度に着目し、資産やその機能を使うには通常よりも強い認証が必要だというものです。例としては、オンライン・バンキングにおいて口座情報照会はIDとパスワードでよいが、振込などの金銭移動を行う場合には、さらに乱数表やワンタイム・パスワードが必要といったものです。

(4)アクセス環境

 ユーザーがどこからアクセスするかによって認証方式を変えるというものです。例えば、自社内LANからアクセスする場合はIDとパスワードでよいが、社外のインターネット経由でアクセスする場合には、ワンタイム・パスワードを利用するといったケースが挙げられます。

(5)ユーザーのITリテラシと利便性

 ユーザーが認証方式を使いこなせるか? も重要なポイントです。例えば、ITに詳しくないユーザーが多い場合、利用方法が複雑な認証方式を現実的に使いこなせない、といったことが発生し、実運用として機能しない場合があります。実運用を重視した例として、パスワードを覚える必要をなくすために指紋認証を採用した、という場合もあります。

(6)コスト

 パスワード認証は多くのシステムで標準的に採用されていますが、ほかの認証方式、特に所有物による認証、属性による認証のほとんどは専用デバイスなどが必要なため、一般にコストが掛かります。そのため、利用者数が多い場合には費用対効果を考慮する必要があります。


 上記のようなポイントを検討し、認証方式を決めていく必要があります。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ